返回
状态检测实验

状态检测实验

ID:40864683

大小:220.00 KB

页数:7页

时间:2019-08-09

状态检测实验_第1页
状态检测实验_第2页
状态检测实验_第3页
状态检测实验_第4页
状态检测实验_第5页
资源描述:

《状态检测实验》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、实验题目状态检测实验小组合作否一、实验目的定制基于状态检测规则验证规则配置前后通信状态二.实验环境图3.1.21实验环境拓扑图实验环境拓扑图如图3.1.21所示,其中:防火墙IP地址:内网IP地址:172.20.2.X/16连接防火墙实验显示的内网IP外部IP地址:172.21.2.X/16连接防火墙实验显示的外网IP客户端IP地址:172.20.1.Y/255.255.0.0通过察看本地网络属性获得Windows实验台的IP地址:172.21.3.Y,确保相互之间不会冲突。网关为防火墙外网IP地址:1172.21.2.X本实验的防火墙的默认规则都是允许。三、实验内容与步骤

2、一、连接防火墙进入状态检测实验实验实施的界面,点击“连接”,连接防火墙。二、添加静态路由启动Windows实验台。打开本地主机cmd命令行,输入routeadd172.21.0.0mask255.255.0.0172.20.2.1,添加路由。一、验证网络连通性本地cmd窗口中输入ping172.21.3.76(实验台第二块网卡IP),进行网络连通性测试,如图。FTP访问(通过IE访问)结果如图3.1.24所示,可正常访问。二、规则添加可选择状态包括:NEW(新建连接)、ESTABLISHED(已建立的连接)、RELATED(与某已建立连接相关的连接)、INVALID(非法连接

3、)。选择规则类型包括:REJECT和ACCEPT,决定是否允许数据包通过。针对FTP服务,添加如图所示的规则。本次实验主要以FTP的被动(Passive)连接模式为例,因为IE来访问FTP选择为被动,如若对主动模式进行测试,或选用其它客户端,如CuteFTP,留为课后自行完成实验。三、实验结果测试使用FTP服务,连接失败。尝试当已经连接FTP服务器后,再添加如图3.1.25所示的规则,ftp服务是否会中断。四、实验过程与分析四、连接防火墙进入状态检测实验实验实施的界面,点击“连接”,连接防火墙。五、添加静态路由启动Windows实验台。打开本地主机cmd命令行,输入route

4、add172.21.0.0mask255.255.0.0172.20.2.1,添加路由,如图3.1.22所示。图3.1.22添加静态路由一、验证网络连通性本地cmd窗口中输入ping172.21.3.76(实验台第二块网卡IP),进行网络连通性测试,如图3.1.23所示。图3.1.23连通性测试FTP访问(通过IE访问)结果如图3.1.24所示,可正常访问。图3.1.24一、规则添加可选择状态包括:NEW(新建连接)、ESTABLISHED(已建立的连接)、RELATED(与某已建立连接相关的连接)、INVALID(非法连接)。选择规则类型包括:REJECT和ACC

5、EPT,决定是否允许数据包通过。针对FTP服务,添加如图3.1.25所示的规则。图3.1.25防火墙规则本次实验主要以FTP的被动(Passive)连接模式为例,因为IE来访问FTP选择为被动,如若对主动模式进行测试,或选用其它客户端,如CuteFTP,留为课后自行完成实验。一、实验结果测试使用FTP服务,连接失败。尝试当已经连接FTP服务器后,再添加如图3.1.25所示的规则,ftp服务是否会中断。五、实验总结状态检测技术是包过滤技术的延伸,被称为动态包过滤。传统的包过滤防火墙只是通过检测IP包包头的相关信息来决定数据通过还是拒绝。而状态检测技术采用的是一种基于连接的状

6、态检测机制,将属于同一连接的所有包做为一个整体的数据流看待,构成连接状态表(StateTable),通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。例如,对于一个外发的HTTP请求,当数据包到达防火墙时,防火墙会检测到这是一个发起连接的初始数据包(有SYN位),它就会把这个数据包中的信息与防火墙规则作比较,即采用包过滤技术。如果没有相应规则允许,防火墙就会拒绝这次连接;如果有对应规则允许访问外部WEB服务,就接受数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息。对于TCP连接,它还应该会包含序列号

7、和标志位等信息。当后续数据包到达时,如果这个数据包不含SYN标志,也就是说这个数据包不是发起一个新的连接时,状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较,如果信息匹配,就直接允许数据包通过,这样不再去接受规则的检查,提高了效率,如果信息不匹配,数据包就会被丢弃或连接被拒绝,并且每个会话还有一个超时值,过了这个时间,相应会话条目就会被从状态表中删除掉。对UDP同样有效,虽然UDP不是像TCP那样有连接的协议,但状态检测防火墙会为它创建虚拟的连接。对己经建立连接的数据包不再进行规则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。